Debians sikkerhedsbulletin
DSA-2180-1 iceape -- flere sårbarheder
- Rapporteret den:
- 3. mar 2011
- Berørte pakker:
- iceape
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0059.
- Yderligere oplysninger:
-
Flere sårbarheder er fundet i internetsuiten Iceape, en mærkevarefri version af Seamonkey:
- CVE-2010-1585
Roberto Suggi Liverani opdagede at fornuftighedskontrollen udført af ParanoidFragmentSink ikke var komplet.
- CVE-2011-0051
Zach Hoffmann opdagede at ukorrekt fortolkning af rekursive eval()-kald kunne medføre at angribere kunne gennemtvinge accept af en bekræftelsesdialog.
- CVE-2011-0053
Nedbrud i layoutmaskinen kunne måske føre til udførelse af vilkårlig kode.
- CVE-2011-0054
Christian Holler opdagede bufferoverløb i JavaScript-maskinen, hvilke kunne gøre det muligt at udføre vilkårlig kode.
- CVE-2011-0055
regenrecht
og Igor Bukanov opdagede anvendelse efter frigivelse-fejl i JSON-Implementation, som kunne føre til udførelse af vilkårlig kode. - CVE-2011-0056
Christian Holler opdagede bufferoverløb i JavaScript-maskinen, hvilke kunne gøre det muligt at udføre vilkårlig kode.
- CVE-2011-0057
Daniel Kozlowski opdagede at ukorrekt hukommelseshåndtering i implementeringen af webworkers kunne føre til udførelse af vilkårlig kode.
- CVE-2011-0059
Peleus Uhley opdagede en risiko for forespørgelsesforfalskning på tværs af websteder i pluginkoden.
Den gamle stabile distribution (lenny) er ikke påvirket. Pakken iceape leverer kun XPCOM-koden.
I den stabile distribution (squeeze), er dette problem rettet i version 2.0.11-3.
I den ustabile distribution (sid), er dette problem rettet i version 2.0.12-1.
Vi anbefaler at du opgraderer dine iceape-pakker.
- CVE-2010-1585